2. 程式人生 > >Intel CPU 漏洞分析

Intel CPU 漏洞分析

阿新 發佈:2018-08-09
from logs ranch val 兩種方法 prevent 排列 .com org

Intel CPU漏洞分析報告

預備知識

存儲分級

由於計算機存儲分級的特性(第一級:寄存器,第二級:高速緩存,第三級:內存,第四級:磁盤),每一級之間的訪問速度差距高達數量級。所以處理器會將用到的數據和指令加載進高速緩存(現代CPU分指令高速緩存與數據高速緩存),以提高計算機的執行速度。其加載數據或指令進高速緩存的原則是(空間局部性、時間局部性):

1. 時間局部性:如果一個數據被訪問,那麽在近期它很可能還會被再次訪問。
2. 空間局部性: 與當前訪問的數據緊挨著的數據,近期將會被訪問
分支預測

分支預測分為動態分支預測與靜態分支預測。其效果就是預測跳轉地址,讓CPU去執行該地址的指令,不用讓CPU等待判斷結果,進而提高程序速度。若預測錯誤,CPU也會保證預測執行不會造成影響.

靜態分支預測:每次假設都跳轉或都不跳轉
動態分支預測:會根據以往的跳轉結果來判斷本次是否跳轉
亂序執行

是指CPU不會嚴格按照指令的排列順序執行(無依賴性),但是會保證其執行結果與按照順序執行的結果一樣。如

mov eax,1
mov ebx,1

其之間沒有依賴關系,采用亂序執行可以提高執行速度。

漏洞證明

漏洞利用方法:首先我們創建一個數組(我創建的數組一項大小是一個頁面,一共256項),然後清空該數組的緩存,通過利用不應該執行成功的指令(或永遠不會執行的指令),獲得對應地址的值,利用該值來訪問我們數組中的某一項,將該項加入進緩存。然後通過測試我們創建的數組中每一項的訪問時間,且由於被加載進緩存的訪問速度最小,則我們可以獲得該項的下標。然後得出對應地址的值。

可以看出漏洞利用的關鍵就是:如何讓 “不應該執行成功的指令” 或 “永遠不會執行的指令” 執行

“不應該執行成功的指令” 執行 -- 利用亂序執行
add rax,0x100
add rax,0x100
add rax,0x100
add rax,0x100
add rax,0x100
add rax,0x100
add rax,0x100
add rax,0x100
add rax,0x100
add rax,0x100
mov al,byte [kernelAddress]
shl rax,0xc
mov rbx,dword [target_arr + rax]

以上就是實現漏洞利用的最基本代碼。1.獲取內核數據,2.利用該值將用戶空間創建的數組對應項加載進高速緩存,進而獲得內核空間的數據。在我們分析看來,2步驟根本就不會執行,因為在第一步,用戶進程試圖訪問內核空間,造成程序異常,從而退出程序。但是由於亂序執行的特性且為了高效性,權限檢查會放在指令執行的最後,其會將我們的數組項加載進緩存,進而獲得內核數據.

“永遠不會執行的指令” 執行 -- 利用分支預測
void exposeValue(void *addr){
    int len = (unsigned long)addr;
    int idx = 0;
    int value = 0;

    clflushMyArr();
    
    if( likely( len< pMyArr->len) ){  //永遠為假
        //never arrive
        idx = *((char*)addr);
        value = target_buf[idx*PAGE_SIZE];
    }   
}

首先我們將pMyArr->len從緩存中清空,則在判斷結果的時候需要一定的時間,這時分支預測判斷為真,就會將我們的數組對應項加載進高速緩存。

這段代碼只考慮的靜態分支預測,沒有考慮動態分支預測,所以在實際中我們為了讓預測結果為真需要對CPU進行訓練。

兩種方法的比較

由於利用分支預測,需要對CPU進行訓練,所以其運行速度相比利用亂序執行慢。
但是亂序執行中需要對非法內存訪問進行特殊處理,實現相對利用分支預測麻煩。

安全建議

及時更新系統與瀏覽器,安裝防護軟件

參考質料

  1. https://cyber.wtf/2017/07/28/negative-result-reading-kernel-memory-from-user-mode/
  2. https://googleprojectzero.blogspot.com.es/2018/01/reading-privileged-memory-with-side.html
  3. http://0xffffff.org/2015/12/06/37-How-to-benchmark-code-execution-times/
  4. https://weibo.com/ttarticle/p/show?id=2309404192549521743410
  5. https://weibo.com/ttarticle/p/show?id=2309404192925885035405
  6. https://software.intel.com/en-us/articles/branch-and-loop-reorganization-to-prevent-mispredicts
  7. 《計算機組成:結構化方法》(塔嫩鮑姆 (Andrew S. Tanenbaum) )

Intel CPU 漏洞分析

相關推薦

Intel CPU 漏洞分析

from logs ranch val 兩種方法 prevent 排列 .com org Intel CPU漏洞分析報告 預備知識 存儲分級 由於計算機存儲分級的特性(第一級:寄存器,第二級:高速緩存,第三級:內存,第四級:磁盤),每一級之間的訪問速度差距高達數量級。所以處

親歷Intel CPU漏洞的正面襲擊

全部 就是 數據合並 更新 疑惑 無法查看 而是 lin 了解 作為已經3年多沒有寫過代碼的程序員來說,本篇不應該算是一篇技術型的文章,而是作為服務上千家客戶的ToB大數據創業公司的一次經歷,可能很多人對於我們的產品了解並不多,所以我先簡單介紹下我們的技術和業務應用場景,我

Intel CPU漏洞技術解讀:都是快取惹的禍!

背景 2017年6月1日,Google的安全團隊向Intel、AMD、ARM報了一個硬體級的漏洞,造成的危害是核心資料洩露,修復該漏洞的代價是至少30%的效能損失。2017年末Linux核心社群推出了KPTI「Kernel Page Table Isolation」補丁,Linus Torvald

CVE-2014-0195漏洞分析

auto ase dia sum messages handle cat lar specified Watching the industry respond to the Heartbleed vulnerability has been fascinating.

IntelAMT 固件密碼繞過登錄漏洞分析與實戰

英特爾 管理工具 系統管理員 計算機 卡洛斯 IntelAMT 固件密碼繞過登錄漏洞分析與實戰Byantian365.com simeon1.1漏洞簡介 2017年5月1日,英特爾公布了AMT漏洞(INTEL-SA-00075),但該漏洞的細節未公開。2017年5月5日,Tenabl

關於intel cpu命名規則的一些說明

height 進行 常見 ont ridge 無法 超極本 處理 jpg 1?? 關於Gen標識符的詳細內容。   代與代之間主要是架構,制作工藝(即x nm),針腳和功耗等的區別。 第一代是Westmere架構,32nm; 第二代是SandyBridge

[CVE-2017-5487] WordPress <=4.7.1 REST API 內容註入漏洞分析與復現

tps 文章 分析 請求 利用 api文檔 each includes 什麽 不是很新的漏洞,記錄下自己的工作任務 漏洞影響: 未授權獲取發布過文章的其他用戶的用戶名、id 觸發前提:wordpress配置REST API 影響版本:<= 4.7 0x01漏洞

cracer教程5----漏洞分析(下)

bsp 破解器 php 萬能 工具 image 下載 png width ---恢復內容開始--- 暴庫             下載漏洞   site:cracer.com inurl:down.asp(php等)       後臺密碼爆破:      得到後臺之後弱口

Maccms8.x 命令執行漏洞分析

mon 鏈接 文件 https 提交 index.php method if條件 xpl 下載鏈接https://share.weiyun.com/23802397ed25681ad45c112bf34cc6db 首先打開Index.php $m = be(‘ge

Discuz 7.2 faq.php漏洞分析

cat array src emp row 括號 查詢 d+ 參數 漏洞發生在頁面faq.php中,源碼如下: elseif($action == ‘grouppermission‘) {ksort($gids); $groupids = array();

齊博分類系統漏洞分析

tree 分析 oot 可控 插入數據 技術 arc sea title 0x01 漏洞利用知識點 1.代碼執行 2.變量覆蓋 3.文件包含 0x02 漏洞分析 首先在/fenlei1.0/do/jf.php文件中存在代碼執行片段 $query2 = $db-&g

Intel CPU 發展簡史

整數 tel 並行 最新 時間 直接內存 drive 推出 頻繁 Intel CPU 發展簡史 1971年11月15日:4004 1971年11月15日,Intel公司的工程師霍夫發明了世界上第一個商用微處理器—4004。這款4位微處理器集成了2250個晶體管,晶體

Apache Tomcat CVE-2017-12615遠程代碼執行漏洞分析

文件 only html ive zip pre clas one 判斷 2017年9月19日, Apache Tomcat官方發布兩個嚴重的安全漏洞, 其中CVE-2017-12615為遠程代碼執行漏洞,通過put請求向服務器上傳惡意jsp文件, 再通過jsp文件在服

Vivotek 攝像頭遠程棧溢出漏洞分析及利用

-418 環境搭建 目標 bin 無法 查看 攝像 遠程調試 鏡像 Vivotek 攝像頭遠程棧溢出漏洞分析及利用 近日,Vivotek 旗下多款攝像頭被曝出遠程未授權棧溢出漏洞,攻擊者發送特定數據可導致攝像頭進程崩潰。 漏洞作者@bashis 放出了可造成攝像頭 Cras

授人以魚不如授人以漁——CPU漏洞的Symantec解決之道

感染 內存 manage define 如何 -s 彈性 加固 images 授人以魚不如授人以漁——CPU漏洞的Symantec解決之道 前言1月4日,國外安全研究機構公布了兩組CPU漏洞,由於漏洞嚴重而且影響範圍廣泛,引起了全球的關註,成為2018開年以來第一個信息安

及時更新Exchange服務器補丁防止因為服務器硬件CPU漏洞導致風險

prot roc src ide cpu 不必要 驗證方法 系統版本 chang 及時更新Exchange宿主機服務器補丁防止因為硬件或虛擬化服務器CPU漏洞產生不必要的風險。具體可以參考:(https://support.microsoft.com/en-us/help/

SMB協議漏洞分析

數據庫 SQL Server SMB協議漏洞分析2017年,勒索病毒WannaCry和Petya利用SMB 1.0暴露的漏洞,利用Windows操作系統445端口進行傳播。不同SMB版本在Windows出現的順序: CIFS – Windows NT 4.0 SMB 1.0 – Windows 200

一次簡單的xss漏洞分析

一個 自己 png 基本上 轉義 分享 對話框 class mage 起因,經過掃描,發現了一個反射型xss的漏洞: 那麽,我想,既然存在xss漏洞。如果沒有防火墻肯定是直接就利用了,直接插入<img src=x onerror=alert(0)>: 可以看

1.5 webshell文件上傳漏洞分析溯源(1~4)

png query 瀏覽器 key led 9.png 簡單的 木馬 value webshell文件上傳漏洞分析溯源(第一題) 我們先來看基礎頁面: 先上傳1.php ----> ,好吧意料之中 上傳1.png ----> 我們查看頁面元素 --

安全提示:勒索病毒漏洞CPU漏洞務必小心

勒索漏洞 CPU幽靈漏洞近段時間來,國內一些信息安全團隊陸續發出安全警報,稱國內勒索病毒疫情非常嚴峻,政府、企業和個人用戶都在被攻擊之列,而系統漏洞是勒索軟件攻擊的主要入口。老友科技這裏提醒廣大計算機用戶,對於關鍵系統漏洞必須及時打上補丁,並做相關的檢查。本文說明2個高危系統漏洞的處理方法。 1.